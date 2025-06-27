8 menit
Di Kubernetes, ingress dan egress mengacu pada bagaimana lalu lintas jaringan masuk ke dan keluar dari lingkungan aplikasi cloud-native dalam kontainer.
Arus lalu lintas ini sangat penting untuk menjalankan aplikasi modern dalam infrastruktur cloud. Pengelolaan yang efektif atas arus lalu lintas ini mendukung berbagai contoh penggunaan, misalnya merutekan lalu lintas pelanggan ke aplikasi web atau mengakses API pihak ketiga dengan aman.
Di dunia berbasis komputasi cloud saat ini, Kubernetes mendukung beban kerja yang makin penting. Akibatnya, kemampuan terperinci untuk mengontrol lalu lintas menjadi hal penting dalam mempertahankan kinerja, guna menerapkan langkah-langkah keamanan dan memenuhi persyaratan kepatuhan.
Kubernetes, juga dikenal sebagai k8s atau kube, adalah platform orkestrasi kontainer yang mengotomatiskan penerapan, penskalaan, dan pemeliharaan aplikasi di kumpulan sumber daya komputasi. Alih-alih mengelola server secara langsung, tim DevOps dan tim TI menggunakan Kubernetes untuk menjalankan aplikasi dalam kontainer, yakni unit perangkat lunak mandiri dan ringan yang mencakup semua yang diperlukan untuk menjalankan aplikasi.
Menurut laporan CNCF, Kubernetes adalah proyek sumber terbuka terbesar kedua di dunia (setelah Linux), dan merupakan alat orkestrasi kontainer utama bagi 71% perusahaan Fortune 100.
Docker adalah alat yang paling banyak digunakan untuk membangun gambar kontainer. Di Kubernetes, kontainer dikelompokkan ke dalam unit-unit yang disebut pod, yaitu unit terkecil yang dapat diterapkan dan dapat berisi satu atau beberapa kontainer. Kubernetes menjadwalkan pod ini di klaster mesin yang dikenal sebagai node.
Pod dan sumber daya terkait ditata ke dalam namespace, yang memberikan pemisahan logis untuk mengelola berbagai tim, proyek, atau lingkungan dalam satu klaster yang sama. Kubernetes menangani fungsionalitas klaster utama, seperti penyeimbangan beban, failover, penskalaan, dan penyembuhan mandiri, dengan menyederhanakan banyak kompleksitas infrastruktur tingkat rendah.
Dalam klaster Kubernetes, layanan sering kali perlu berkomunikasi satu sama lain dan terkadang dengan sistem eksternal. Kubernetes mengelola dan mengontrol lalu lintas dengan cara mengisolasi komponen internal untuk meningkatkan kinerja dan keamanan. Akibatnya, lalu lintas masuk dan keluar harus ditentukan, dikelola, dan dikonfigurasi secara eksplisit.
Dalam ilmu komputer dasar, ingress versus egress mengacu pada lalu lintas masuk versus lalu lintas keluar dalam suatu jaringan atau sistem. Ingress dan egress Kubernetes menyediakan kerangka kerja terkontrol bagi tim platform untuk mengatur aliran masuk dan keluar lalu lintas, ke dan dari klaster Kubernetes. Aspek ini sangat penting untuk pengoperasian lingkungan produksi yang aman dan dapat diskalakan.
Ingress mengacu pada lalu lintas masuk dari pengguna atau sistem eksternal ke dalam klaster Kubernetes, biasanya melalui HTTP atau HTTPS (yang keduanya berjalan pada protokol TCP). Alih-alih mengekspos setiap layanan secara langsung ke internet, banyak organisasi menetapkan aturan ingress melalui sumber daya Ingress. Sumber daya ini biasanya ditulis dalam YAML, yang memberi instruksi kepada Kubernetes tentang cara merutekan lalu lintas berdasarkan kriteria seperti jalur URL atau nama domain.
Aturan ingress diberlakukan oleh pengontrol ingress, yakni sebuah perangkat lunak (sering kali berbasis NGINX atau proxy terbalik lainnya) yang berfungsi sebagai titik masuk sebenarnya. Pengontrol menerima permintaan yang masuk, mendekripsi lalu lintas jika perlu, dan meneruskannya ke layanan yang benar di dalam klaster.
Sebagai contoh, aturan ingress dapat dikonfigurasi untuk:
Kubernetes menyediakan beberapa metode bawaan untuk mengekspos layanan di luar cluster. Sumber daya Ingress kompatibel dengan jenis layanan tertentu tetapi menawarkan pendekatan yang lebih fleksibel dan terpusat, terutama untuk lalu lintas berbasis web.
Berikut adalah beberapa jenis layanan yang paling umum:
Sebagai perbandingan, sumber daya Ingress memungkinkan beberapa layanan diakses melalui satu alamat IP eksternal dengan menggunakan aturan perutean cerdas, berdasarkan nama domain atau jalur. Sumber daya ini memusatkan penanganan HTTP(S) dan kontrol lalu lintas, sehingga menjadi pilihan tepat untuk beban kerja produksi.
Egress mengacu pada lalu lintas keluar, ketika layanan di dalam klaster Kubernetes perlu berkomunikasi dengan tujuan atau sistem lalu lintas eksternal (misalnya, API, layanan cloud, database, dan sebagainya). Meskipun Kubernetes mengizinkan lalu lintas keluar tanpa batas secara default, kebijakan terbuka ini jarang sekali cocok untuk lingkungan produksi.
Organisasi biasanya ingin mengontrol dan memantau layanan mana yang dapat terhubung ke titik akhir eksternal, baik untuk alasan keamanan maupun kepatuhan. Sebagai contoh, sebuah perusahaan retail mungkin ingin layanan pembayarannya hanya menjangkau gateway pembayaran yang disetujui dan memblokir semua tujuan lainnya.
Kubernetes menyediakan beberapa metode untuk mengelola egress secara efektif dan aman. Dengan menerapkan kontrol ini, organisasi dapat memastikan bahwa hanya lalu lintas yang sah yang diizinkan untuk mengalir ke jaringan eksternal, sehingga meningkatkan keamanan dan kepatuhan.
Kebijakan jaringan Kubernetes dapat membatasi pod mana yang diizinkan untuk membuat koneksi keluar dan menentukan alamat atau domain yang dapat dijangkau, yang sering kali menggunakan notasi CIDR untuk rentang IP. Kebijakan ini mendukung model zero-trust dengan hanya mengizinkan komunikasi yang diizinkan secara eksplisit. Aturan egress dalam kebijakan jaringan ini menentukan pembatasan lalu lintas keluar, dengan mengontrol pod tujuan eksternal mana yang dapat diakses.
Gerbang egress, yang sering digunakan sebagai bagian dari mesh layanan, dapat merutekan semua lalu lintas keluar melalui satu titik kontrol terpantau, yang memungkinkan kontrol lalu lintas, enkripsi, dan observabilitas tingkat lanjut.
Node egress khusus atau gateway NAT juga dapat digunakan untuk memusatkan dan mencatat koneksi keluar, yang memberikan keterlacakan dan peningkatan isolasi kinerja.
